Nicht-menschliche Identitäten machen einen immer größeren Teil der zu verwaltenden Accounts in Unternehmen aus – und bilden somit einen enorme Angriffsfläche. Cycode erklärt die wichtigsten Aufgaben, um die Anwendungssicherheit trotz dieses Trends zu gewährleisten. [...]
Auf jeden menschlichen Account kommen im Schnitt etwa 20 Non-human Identities (NHIs). Sie gewinnen für Cyberkriminelle als Angriffsvektor immer mehr an Bedeutung, denn sie verfügen – wie auch herkömmliche Benutzerkonten von Mitarbeitenden, Kunden oder Dienstleistern – über Rollen mit teils tiefgreifenden Handlungs- und Zugriffsberechtigungen. Das Problem für Unternehmen ist, dass die Verwaltung dieser nicht-menschlichen Identitäten schon ob ihrer schieren Menge ein gewaltiger Kraftakt ist, den sie ohne passende Management-Tools praktisch nicht stemmen können: Dann kommt es zwangsläufig zur sogenannten Secrets Exposure, also der Offenlegung von Passwörtern, API- oder SSH-Schlüssel, sicherheitsrelevanter OAuth- oder JWT-Tokens und ähnlichen Zugangsdaten. Cycode empfiehlt Unternehmen, eine NHI-Sicherheitslösung einzusetzen, die AppSec-Teams bei den folgenden Aufgaben unterstützt:
1. Transparenz herstellen
Der Cybersecurity-Leitspruch „Man kann nicht schützen, was man nicht sieht“ hat – gerade in Bezug auf nicht-menschliche Identitäten – nichts an Aktualität eingebüßt. Um NHIs sicher nutzen zu können, ohne ein System für Hacker anfällig zu machen, muss Transparenz darüber herrschen, welche nicht-menschliche Identitäten überhaupt im Einsatz und welcher Art sie sind: Handelt es um APIs, Service-Accounts oder andere Entitäten? Zudem ist es essenziell, dass Unternehmen die Ownership dokumentiert, also welche menschlichen Mitarbeitenden die Verantwortung für welche NHIs tragen. Eine Sofortmaßnahme, die sich aus dieser ersten Analyse ableitet: alte und nicht mehr verwendete NHIs sollte das Anwendungssicherheitsteam sofort entfernen.
2. Risiko bewerten
Eine gute NHI-Sicherheitslösung hilft zudem bei der Einstufung der Kritikalität nicht-menschlicher Identitäten. In diesem Zusammenhang geht es vor allem darum, festzustellen, welche Systeme oder (sensible) Daten eine NHI überhaupt beeinflussen kann und welche potenziellen Angriffsszenarien und Angriffsflächen sich daraus ergeben. Public APIs, also öffentlich zugängliche Programmierschnittstellen, spielen beispielsweise eine besondere Rolle für die Sicherheit der gesamten Unternehmens-IT. Manche NHI-Sicherheitslösungen bewerten zudem die aktuell vorherrschenden Sicherheitsmaßnahmen und geben im Zweifel Handlungsempfehlungen für deren Verbesserung.
3. Sicherheitsmaßnahmen etablieren
Ist die Transparenz hergestellt und das Risiko aller NHIs bekannt, sollten Unternehmen passende Sicherheitsmaßnahmen implementieren. Es ergibt Sinn, dass die Verantwortlichen für die Anwendungssicherheit Richtlinien, Frameworks und Prozesse für den Umgang mit nicht-menschlichen Identitäten erstellen. Die Erkenntnisse aus den ersten beiden Evaluierungsphasen sind dafür die logische Grundlage. Zunächst gilt es, auch für NHIs eine rollen- oder attributsbasierte Zugriffskontrolle zu etablieren. Nach dem Zero-Trust-Prinzip sollten NHIs lediglich die Rechte und Zugänge erhalten, die sie wirklich brauchen, um ihre Aufgabe zu erfüllen. Obligatorisch ist zudem der Einsatz von Sicherheitsprotokollen für die Authentifizierung (etwa Oauth2) sowie für die Kommunikation. Für die Transformation weg von reaktiven hin zu präventiver NHI-Sicherheit ist es zudem elementar, das Secrets-Management in CI/CD-Pipelines zu integrieren. Gute Sicherheitslösungen bieten automatisierte Tests, die die Konfigurationen für nicht-menschliche Identitäten daraufhin testen, ob ein Missbrauch möglich ist.
4. Monitoring implementieren
Ohne ständige Kontrollen bleiben die meisten Sicherheitsmaßnahmen wirkungslos. Daher ist es wichtig, dass Unternehmen ein Monitoring für NHIs implementieren – oder eine Sicherheitslösung verwenden, die es bereits nativ bereitstellt. Gute Lösungen dafür loggen sämtliche Aktivitäten nicht-menschlicher Identitäten und untersuchen sie in Verbindung mit den Kapazitäten von SIEM (Security Incident and Event Management)-Lösungen automatisiert auf Anomalien im Verhalten. Gibt es Auffälligkeiten, schlagen sie Alarm.
Jochen Koehler ist Vice President of Sales EMEA bei Cycode. (c) Cycode
„Neben der Umsetzung dieses Vier-Punkte-Plans gilt es für Unternehmen, die Mitarbeitenden an Bord zu holen“, sagt Jochen Koehler, Vice President of Sales EMEA bei Cycode. „Dazu gehören Schulungen und Sensibilisierungstrainings, andererseits aber auch eine intelligente und intuitive Sicherheitslösung, die redundante Aufgaben des NHI-Managements automatisiert. Mit dem passenden Tooling haben AppSec-Teams zudem die nötige Transparenz und Informationsdichte, um komplexere Tasks effizienter durchzuführen und auf Bedrohungen schneller zu reagieren.“
Be the first to comment